本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的数据保护 Amazon Key Management Service
Amazon Key Management Service 存储和保护您的加密密钥,使其高度可用,同时为您提供强大而灵活的访问控制。
保护密钥材料
默认情况下, Amazon KMS 生成并保护 KMS 密钥的加密密钥材料。此外,还为在外部创建和保护的密钥材料 Amazon KMS 提供了选项 Amazon KMS。
保护中生成的密钥材料 Amazon KMS
创建 KMS 密钥时,默认情况下, Amazon KMS 会生成并保护 KMS 密钥的加密材料。
为了保护 KMS 密钥的密钥材料,请 Amazon KMS 依靠经过验证的硬件安全模块()的 FIPS 140-3 安全等级 3
在 HSM 中生成 KMS 密钥的密钥材料时,默认情况下会对其进行加密。密钥材料仅在 HSM 易失性存储器中解密,并且仅在加密操作中使用该密钥所需的几毫秒内解密。每当密钥材料未处于活跃使用状态时,都会在 HSM 中对其进行加密,然后传输到高度耐用 (99.999999999%)、低延迟的永久存储中,在那里它与密钥材料保持分离和隔离。 HSMs明文密钥材料永远不会离开 HSM 安全边界;并且永远不会写入磁盘或持久性存放在任何存储介质中。(唯一的例外是非对称密钥对的公有密钥,此密钥对不是秘密的。)
Amazon 断言,作为一项基本的安全原则,任何类型的纯文本加密密钥材料都不存在人为交互。 Amazon Web Services 服务任何人(包括 Amazon Web Services 服务 操作员)都无法查看、访问或导出纯文本密钥材料。即使在灾难性故障和灾难恢复事件中,该原则也适用。中的纯文本客户密钥材料用 Amazon KMS 于 Amazon KMS FIPS 140-3 中的加密操作, HSMs 仅在响应客户或其代表向服务提出的授权请求时才进行验证。
对于客户管理的密钥 Amazon Web Services 账户 ,创建密钥的人是密钥的唯一且不可转让的所有者。拥有者账户对控制密钥访问权限的授权策略拥有完全和排他性的控制权。对于 Amazon 托管式密钥 Amazon Web Services 账户 ,可以完全控制授权向的请求的 IAM 策略 Amazon Web Services 服务。
保护 Amazon KMS外部生成的密钥材料
Amazon KMS 提供了中生成的密钥材料的替代方案 Amazon KMS。
自定义密钥存储是一项可选 Amazon KMS 功能,允许您创建由在外部生成和使用的密钥材料支持的 KMS 密钥 Amazon KMS。密Amazon CloudHSM 钥存储库中的 KMS 密钥由您控制的 Amazon CloudHSM 硬件安全模块中的密钥提供支持。 HSMs 它们已通过 FIPS 140-2安全级别3或140-3安全级别3 的认证。外部密钥存储中的 KMS 密钥由您在外部控制和管理的外部密钥管理器中的密钥支持 Amazon,例如私有数据中心的物理 HSM。
另一个可选功能可使您为 KMS 密钥导入密钥材料。为了在导入的密钥材料传输到时对其进行保护 Amazon KMS,您可以使用 Amazon KMS HSM 中生成的 RSA 密钥对中的公钥来加密密钥材料。导入的密钥材料在 HSM 中解密,然后在 Amazon KMS HSM 中的对称密钥下重新加密。像所有 Amazon KMS 密钥材料一样,纯文本导入的密钥材料永远不会留下未加密的 HSMs 密钥。但是,提供密钥材料的客户负责密钥材料在 Amazon KMS之外的安全使用、持久性和维护。
数据加密
中的数据 Amazon KMS 由它们所代表 Amazon KMS keys 的加密密钥材料组成。此密钥材料仅以纯文本形式存在于 Amazon KMS 硬件安全模块 (HSMs) 中,并且仅在使用时才存在。否则,密钥材料将被加密并存储在持久性存储中。
为 KMS 密钥 Amazon KMS 生成的密钥材料永远不会离开 Amazon KMS HSMs 未加密的边界。它不会在任何 Amazon KMS API 操作中导出或传输。多区域密钥除外, Amazon KMS 它使用跨区域复制机制将多区域密钥的密钥材料从一个 HSM 复制 Amazon Web Services 区域 到另一个 HSM 中的 HSM。 Amazon Web Services 区域有关详细信息,请参阅 Amazon Key Management Service 加密详细信息中的多区域密钥复制过程。
静态加密
Amazon KMS 生成符合 FIPS 140-3 安全级别 3 的硬件安全模块
KMS 密钥的密钥材料的加密和管理完全由 Amazon KMS处理。
有关更多详细信息,请参阅 “ Amazon Key Management Service 加密详细信息 Amazon KMS keys” 中的 “使用”。
传输中加密
为 KMS 密钥 Amazon KMS 生成的密钥材料永远不会在 Amazon KMS API 操作中导出或传输。 Amazon KMS 在 API 操作中使用密钥标识符表示 KMS 密钥。同样, Amazon KMS 自定义密钥存储库中 KMS 密钥的密钥材料不可导出,也不会在 Amazon KMS 或 Amazon CloudHSM API 操作中传输。
但是,某些 Amazon KMS API 操作会返回数据密钥。此外,客户可以使用 API 操作来为选定的 KMS 密钥导入密钥材料。
所有 Amazon KMS API 调用都必须使用传输层安全 (TLS) 进行签名和传输。 Amazon KMS 需要 TLS 1.2,建议在所有地区使用 TLS 1.3。 Amazon KMS 还支持所有区域(中国区域除外)的 Amazon KMS 服务终端节点混合后量子 TLS。 Amazon KMS 不支持中的 FIPS 端点的混合后量子 TLS。 Amazon GovCloud (US)对 Amazon KMS 的调用还需要一个现代化的密码套件,该套件支持完美向前保密,这意味着任何密钥(如私有密钥)的泄露都不会影响会话密钥。
如果您在 Amazon 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。要使用标准 Amazon KMS
端点或 Amazon KMS FIPS 端点,客户端必须支持 TLS 1.2 或更高版本。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》
Amazon KMS 服务主机与之间的通信 HSMs 在经过身份验证的加密方案中使用椭圆曲线密码学 (ECC) 和高级加密标准 (AES) 进行保护。有关更多详细信息,请参阅 Amazon Key Management Service 加密详细信息中的内部通信安全。
互联网络流量隐私
Amazon KMS 支持一组 Amazon Web Services Management Console 和一组 API 操作,使您能够创建、 Amazon KMS keys 管理和在加密操作中使用它们。
Amazon KMS 支持两种网络连接选项,从您的专用网络到 Amazon。
-
通过互联网进行的 IPSec VPN 连接
-
Amazon Direct Connect
,它通过标准的以太网光纤电缆将您的内部网络连接到某个 Amazon Direct Connect 位置。
所有 Amazon KMS API 调用都必须使用传输层安全 (TLS) 进行签名和传输。这些调用还需要一个现代化的密码套件,该套件支持完美向前保护
要直接 Amazon KMS 从您的虚拟私有云 (VPC) 连接而不通过公共互联网发送流量,请使用由提供支持的 VPC 终端节点Amazon PrivateLink。有关更多信息,请参阅 Amazon KMS 通过 VPC 终端节点连接到。
Amazon KMS 还支持传输层安全 (TLS) 网络加密协议的混合后量子密钥交换选项。当您连接到 Amazon KMS API 端点时,可以将此选项与 TLS 配合使用。